谷歌开源 Python 代码漏洞查找工具 Atheris

谷歌安全专家又开源了另外一款自动化模糊测试工具，希望开发人员能够使用该工具在漏洞遭利用前，找到并修复漏洞。这款工具名为“Atheris”，是一款典型的模糊测试工具。

模糊测试工具和模糊测试技术的工作原理是，为软件应用提供大量随机数据并分析关于异常和崩溃情况的输出，从而使得开发人员能够了解某款应用代码中很可能存在的漏洞及其所处位置。

多年来，谷歌安全研究员一直都在不遗余力地推广使用模糊测试工具，不仅用于发现普通漏洞，而且还发现可被攻击者利用的危险漏洞。

自2013年以来，谷歌安全研究员就已经创建并开源了多款模糊测试工具，如 OSS-Fuzz、Syzkaller、ClusterFuzz、Fuzzilli 和 BrokenType。不过这些工具都是为了发现 C 或 C++ 应用程序中的漏洞。

专为 Python 代码库而创建

Atheris 是谷歌为应对日益流行的 Python 编程语言而设置的。上个月，Python 在 TIOBE 索引的排名为第3名。

Atheris 是谷歌在去年10月份举行的一次内部黑客马拉松活动上开发的，支持通过 Python 2.7 和 Python 3.3+ 版本编写的代码，同时支持通过 CPython 创建的原生扩展。

然而，谷歌表示使用 Atheris 的最佳代码是使用Python 3.8及后续版本编写的代码。这些 Python 版本中的新增功能有助于 Atheris 找到更多的漏洞。

谷歌表示，未来计划在 OSS-Fuzz 上增加对 Atheris 模糊测试的支持。此前，OSS-Fuzz 仅支持 C 和 C++ 模糊测试且极其成功，多年来找到了数千个漏洞。截止到2020年6月，OSS-Fuzz 已经在300个开源项目中找到了2万多个漏洞。

Atheris 现已在 GitHub 上开源，同时可从Python 数据包库 PyPI 中获取，地址如下：